vSphere 7.0 Update 1 以降では、サポートされている AMD CPU およびゲスト OS で Secure Encrypted Virtualization-Encrypted State (SEV-ES) を有効にできます。
現在、SEV-ES でサポートされるのは、AMD EPYC 7xx2 CPU(コード ネーム「Rome」)以降の CPU と、SEV-ES の特定のサポート機能を備えたバージョンの Linux カーネルのみです。
SEV-ES のコンポーネントとアーキテクチャ
SEV-ES アーキテクチャは、次のコンポーネントで構成されています。
- AMD CPU、特に、暗号化キーを管理して暗号化を処理するプラットフォーム セキュリティ プロセッサ (PSP)。
- 対応オペレーティング システム。ゲストが開始したハイパーバイザーへの呼び出しを使用するオペレーティング システム。
- 仮想マシン モニタ (VMM) と仮想マシンの実行可能 (VMX) コンポーネント。仮想マシンのパワーオン時に暗号化された仮想マシンの状態を初期化し、ゲスト OS からの呼び出しも処理します。
- VMkernel ドライバ。ハイパーバイザーとゲスト OS の間で暗号化されていないデータを通信します。
ESXi 上での SEV-ES の実装と管理
まず、システムの BIOS 構成で SEV-ES を有効にする必要があります。BIOS 構成へのアクセスの詳細については、システムのドキュメントを参照してください。システムの BIOS で SEV-ES を有効にすると、仮想マシンに SEV-ES を追加できるようになります。
仮想マシンの SEV-ES を有効または無効にするには、vSphere Client(vSphere 7.0 Update 2 以降の場合)、または PowerCLI コマンドを使用します。SEV-ES を使用して新しい仮想マシンを作成するか、既存の仮想マシンで SEV-ES を有効にできます。SEV-ES が有効になっている仮想マシンを管理する権限は、通常の仮想マシンを管理する場合と同じです。
SEV-ES でサポートされていない VMware の機能
SEV-ES が有効な場合は、次の機能がサポートされません。
- システム管理モード
- vMotion
- パワーオン状態のスナップショット(ただし、非メモリ スナップショットはサポートされます)
- CPU またはメモリのホット アドまたはホット リムーブ
- サスペンド/レジューム
- VMware フォールト トレランス
- クローンとインスタント クローン
- ゲストの整合性
- UEFI セキュア ブート